CISP考试内容主要包括信息安全保障、网络安全监管、信息安全管理、业务连续性、安全工程与运营、安全评估、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发共十个知识域。想要通过考试,大家一定要掌握以上知识。为帮助大家备考,小编为大家整理了2022年CISP考试模拟试题每日一练,大家可以练习下。
单项选择题:
1.有关系统安全工程-能力成熟度模型(SSE-CMM),错误的理解是()。
A.SSE-CMM 要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等
B.SSE-CMM 可以使安全工程成为一个确定的、成熟的和可度量的科目
C.基于 SSE-CMM 的工程是独立工程,与软件工程,硬件工程,通信工程等分别规划实施
D.SSE-CMM 覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动
2.某集团公司信息安全管理员根据领导安排制定了下一年的度的培训工作计划,提出了四大培训任务和目标,关于这中个培训任务和目标,作为主管领导,以下选项中不合理的是()。
A.由于网络安全上升到安全的高度,网络安全必须得到足够的重视,因此安排了对集团公司下属单位的部经理(一把手)的网络安全法培训
B.对下级单位的网络安全管理岗人员实施全面安全培训,建议通过 CISP 培训以确保人员能力得到保障
C.对其他信息化相关人员(网络管理员、软件开发人员)也进行安全基础培训,使相关人 员对网络安全有所了解
D.对全体员工安排信息安全意识及基础安全知识培训,实现全员信息安全意识教育
3.以下关于威胁建模流程步骤说法不正确的是()。
A.威胁建模主要流程包括四步:确定建模对象、识别威胁、评估威胁和消减威胁
B.评估威胁是对威胁进行分析,评估被利用和攻击发生的概率,了解被攻击后资产的受损后 果,并计算风险
C.消减威胁是根据威胁的评估结果,确定是否要消除该威胁以及消减的技术措施,可以通过 重新设计直接消除威胁,或设计采用技术手段来消减威胁。
D.识别威胁是发现组件或进程存在的威胁,它可能是恶意的,威胁就是漏洞。
4.按照我国信息安全等级保护的有关政策和标准,有些信息系统只需自主定价、自主保护,按照要求向公安机关备案即可,可以不需要上级或主管部门来测评和检查。此类信息系统应属于()。
A.零级系统
B.一级系统
C.二级系统
D.三级系统
5.以下关于法律的说法错误的是()。
A.法律是意志的统一体现,有严密的逻辑体系和效力
B.法律可以是公开的,也可以是“内部”的
C.一旦制定,就比较稳定,长期有效,不允许经常更改
D.法律对违法犯罪的后果由明确规定,是一种“硬约束”
6.某 IT 公司针对信息安全事件已经建立了完善的预案,在年度企业信息安全总结会上,信息安全管理员对今年应急预案工作做出了四个总结工作是错误,作为企业的 CSO,请你指出存在问题的是哪个总结()。
A.公司自身拥有优势的技术人员,系统也是自己开发的,无需进行应急演练工作,因此今年的仅制定了应急演练相关流程及文档,为了不影响业务,应急演练工作不举行
B.公司制定的应急演练流程包括应急事件通报、确定应急事件优先级应急响应启动实施、 应急响应时间后期运维、更新现在应急预案 5 个阶段,流程完善可用
C.公司应急预案包括了基本环境类、业务系统、安全事件类、安全事件类和其他类,基本 覆盖了各类应急事件类型
D.公司应急预案对事件分裂依据 GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》,分为 7 个基本类别,预案符合相关标准
注:以上试题资源来源于网络,如有侵权,请联系删除。
